CN102457524B - 层次式网络的安全态势聚合方法 - Google Patents

Abstract

本发明提供一种层次式网络的安全态势聚合方法，用于计算包括多个下级子网和本级子网的层次式网络的总体安全态势值，该方法包括：采集包括所有子网的网络安全态势值以及影响该网络安全态势值的网络安全事件；根据采集到的各网络安全事件，确定每个该网络安全事件在该层次式网络中的分布度，并确定所有网络安全事件对该层次式网络的网络协同攻击的影响，即总协同攻击因数；以及确定各子网以及网络协同攻击对该层次式网络的权重，并基于所确定的权重以及采集到的各子网的网络安全态势值和所确定的总协同攻击因数，计算出该层次式网络的总体安全态势值。本发明的方法可以有效提高网络安全态势聚合的合理性和准确性。

Description

层次式网络的安全态势聚合方法

技术领域

本发明涉及一种网络安全态势评估方法，特别涉及一种层次式网络安全态势聚合方法。

背景技术

随着人类社会的发展，网络已经融入人们生活的方方面面，在网络给人们带来巨大便利的同时也伴随着不可忽视的安全问题，全球互联网络频繁遭受攻击，导致网络大面积瘫痪，重要信息系统的安全受到严重威胁.与此同时，在我国的网络信息化水平发展到一定阶段后，各种网络安全事件也变得不可避免，日益严重的网络安全事件，如网络经济犯罪、大规模网络攻击、网络失窃密等已成为制约我国国民经济发展，甚至危及社会稳定和国家安全的关键因素.鉴于日趋严峻的网络安全形势，如何全面客观的反映网络的安全状况成为当前的一个挑战性课题，特别是针对大规模网络的安全状况问题。

网络安全态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络的安全的当前状态和变化趋势。在现有的技术背景下，面对动态复杂的大规模网络环境，网络管理者必须借助网络安全态势评估的方法和手段来反映当前网络所处的安全状态及变化情况，从而便于了解和掌握引起网络安全态势发生变化的关键要素，做到有的放矢，便于对网络的安全管理提供准确的决策支持，减少网络攻击对网络自身以及其上承载的业务带来的损失，有效的提高对网络安全的管理能力。

在大规模网络环境下，网络在逻辑上表现出一种层次式的关系，特别是像类似省、市、县这样的逻辑组织关系。为了合理地对每个层次的安全态势进行一个评估，需要综合考虑其下级单位网络的安全状况，因此需要研究解决大规模网络环境下态势聚合的方法。

现有技术中有一种网络安全态势的聚合方法，其将各个子网的所有安全事件全部上报到上级网络中来，由上级网络态势评估单元进行统一的评估，得到整体的网络安全态势。这种方法可以提高态势评估的准确度，但是其需要下级子网汇聚大量的网络安全事件，传输数据量大，不利于大规模层次式网络安全态势的实时评估。

现有技术中还有一种层次式网络安全态势的聚合方法，其中上级网络安全的总体态势的获得是上级网络将下级网络的安全态势值收集汇聚，然后跟上级的本地网络的安全态势进行汇聚得到的。它表示的是自该层网络起涵盖下级所有网络安全态势的汇总，即总体安全态势。

该做法目前是一种普遍性的汇聚算法，其优点在于只需要汇聚下级子网安全态势值的评估结果，传输数据量小，速度快。但是其忽略了影响态势变化的要素之间的内在联系，具有一定的局限性，无法客观地反映出整体网络安全态势情况。网络安全态势的聚合仅仅考虑了网络的逻辑关系，通过简单的加权求和算法将底层子网的态势聚合然后跟上层子网汇聚得到总体安全态势。在这个过程中，基本上忽略了影响网络安全态势的要素之间的关联性。例如一些跨子网的协同攻击的出现会使得整体的网络安全态势呈现出更差的状态，也就是说会提高这些协同攻击的影响力。

发明内容

为克服现有技术的缺陷，本发明提供一种层次式网络安全态势聚合方法，用于计算该层次式网络的总体安全态势值，该层次式网络包括多个下级子网和本级子网，该方法包括：(1)采集包括下级子网和本级子网的所有子网的网络安全态势值以及影响该网络安全态势值的网络安全事件；(2)根据采集到的各网络安全事件，确定每个该网络安全事件在该层次式网络中的分布度，并根据每个网络安全事件的分布度确定所有网络安全事件对该层次式网络的网络协同攻击的影响，即总协同攻击因数；以及(3)确定各子网以及网络协同攻击对该层次式网络的权重，并基于所确定的权重以及在步骤(1)采集到的各子网的网络安全态势值和在步骤(2)确定的总协同攻击因数，计算出该层次式网络的总体安全态势值。

本发明通过引入协同攻击评估技术来修正传统的态势聚合算法，从而可以有效提高网络安全态势聚合的合理性和准确性，对大规模网络的安全态势评估发挥至关重要的作用。

附图说明

图1是层次式网络示意图；

图2是根据本发明实施例的层次式网络安全态势聚合方法的流程图；

图3是根据本发明一个实施例的计算子网的网络安全态势值的流程图。

具体实施方式

下级子网络安全态势如何汇聚得到上级网络安全态势是层次式网络安全态势评估的一个重要问题。为了合理准确快速地评估层次式大规模网络安全态势，本发明在上述两种现有技术之间取了一定的折中，主要解决子网态势聚合算法中合理性和准确性的问题。上层网络安全态势并不仅仅是下层子网安全态势的一个简单的聚合，子网之间态势的相关性会对整体网络的安全状况产生重大影响。并且由于并非子网中发生的所有安全事件都会对整个上级网络的安全态势有很大的影响，有些安全事件可能仅在某一个子网中出现，并且对整个上级网络的安全态势的影响非常小，几乎可以忽略。基于此，本发明仅考虑对上级网络安全态势产生重大影响的安全事件，而不考虑那些对上级网路的安全态势影响非常小的安全事件。

在本发明中协同攻击评估主要是对各子网上报的重大网络安全事件进行相似性判断，通过这种相似性判别技术可以评判某种网络安全事件的流行程度。很显然如果同一种攻击只在一个子网中存在和在多个子网中存在对网络安全态势的影响是不同的。如果在某个时间节点上，多个子网检测到了相似度比较高的网络安全事件，那么可以推断出该网络安全事件所反应的网络威胁具有大面积全网扩散的风险，因此整个网络的安全态势状况会更加严峻一些。

下面结合附图和具体实施方式对本发明加以说明。

图1是层次式网络示意图。如图1所示，该层次式网络包括上级子网和多个下级子网。利用根据本发明的层次式网络安全态势聚合方法，能够将该多个下级子网的安全态势和该上级子网的安全态势进行聚合，得到包括该多个下级子网和该上级子网的上级网络的总体安全态势。

图2为根据本发明实施例的层次式网络安全态势聚合方法的流程图。该方法分为以下几个步骤：

步骤1：采集子网数据

采集子网数据采集包括下级子网和本级子网的各子网计算得到的安全态势值以及影响该安全态势值的关键网络安全事件，其中该关键网络安全事件为根据管理员策略而确定的需要向上级网络报告的网络安全事件，各子网的安全态势值可以通过本领域公知的任意计算网络安全态势的方法计算得到。具体而言，所采集的数据包含两个方面：

◆

即各子网计算的安全态势值。

◆根据管理员策略而确定的关键网络安全事件。该安全事件的描述例如按照下述的格式<Time，dIP:Port，sIP:Port，EventType，Scale>，其中Time表示该数据上报的时间；EventType是该事件的类型，可以结合具体的应用进行设置；Scale为该类型事件的规模；sIP:Port表示统计事件的源地址和端口；dIP:Port为统计事件的目的地址和端口，如果该统计事件有多个目的地址和端口，则用0.0.0.0:0来表示。该目的地址和端口用于判定子网中所发生的安全事件的相似度，即，通过对各个子网上报的事件类型相同的安全事件的源地址和目的地址进行比较，判断子网中所发生的安全事件的相似度。

当然，也可以采用其它的格式描述对各子网的网络安全态势值产生重大影响的网络安全事件。

对于各个子网的网络安全态势值，可以采用本领域公知的计算或评估方法获得。例如，可以采用本发明人在申请号为201110310406.6、发明名称为“基于不确定数据的网络安全态势模糊评估方法”中提出的计算网络安全态势值的方法来计算各子网的网络安全态势值。具体而言，根据本发明的一个实施例，按照图3中所示的方法计算各子网的网络安全态势值，该方法包括以下步骤：

(a)构建用于评估该子网的网络安全态势的层次式模型并确定评估因素集和评判集；

(b)利用各评估因素与评判集中的评判等级之间的关系构建隶属度函数，并根据该隶属度函数确定该评估因素集中的各子节点属于该评判集中不同评判等级的概率；

(c)基于步骤(b)确定的各子节点属于不同评判等级的概率，构建模糊评价矩阵；

(d)确定各子节点对其上层节点的重要性权重；

(e)根据在步骤(c)构建的模糊评价矩阵和在步骤(d)确定的各子节点对其上层节点的重要性权重，计算该上层节点的网络安全态势指数；

(f)判断该上层节点是否是该层次式模型的顶层节点；如果是该层次式模型的顶层节点，则在步骤(e)中计算出的该上层节点的网络安全态势指数为该层次式模型的网络安全态势值；如果不是顶层节点，则针对该上层节点的上层节点确定用于评估其网络安全态势指数的评估因素级和评判集，并继续执行步骤(b)、(c)、(d)、(e)，直到计算出该网络安全态势值。

步骤2：协同攻击评估

假设知识库中的安全事件类型C＝{c₁，c₂，…c_n}；安全事件的危害性分为m个等级R＝{r₁，r₂，…r_m}且r∈[0，1]，对于事件类型为C_i的网络安全事件，其危害性r_i∈R，；该层次式网络由b个子网组成，包括本级子网和下级子网。

◆假设网络安全态势需要每隔Δt时间计算一次，则每次统计的时间段范围为t₀+Δt，其中t₀为上个时间统计区间的上确界。

◆统计计算上述该时间段范围t₀+Δt内所采集到的事件类型为c_i的安全事件在所有子网中的分布情况。令d_i＝mount(c_i)/b*100％，其中mount(c_i)表示对子网上报的网络安全事件按照事件类型进行相似度判断后统计的结果。例如在一个具体实施例中，可以设定在时间段范围t₀+Δt内，如果在k个子网上报数据中都有某类型的网络安全事件c_i，且它们的目标地址相同，则认为这k个子网中都存在该网络安全事件c_i，即mount(c_i)＝k。

◆根据某一网络安全事件C_i在子网的分布度d_i，评估大规模网络中某个安全协同攻击事件C_i对该层次式网络的安全态势值的影响，即网络安全事件C_i的协同攻击因数P_i：

$P_i=\left\{\begin{array}{cc}{r}_i& d_i\&GreaterEqual;80\%\\ d_i*r_i& 20\%<d_i<80\%\\ 0& d_i\&le;20\%\end{array}\right.$

根据本发明的其它实施例，还可以根据网络安全管理员的经验对网络安全事件C_i在子网的分布度d_i的区间做出其它的划分。

◆总协同攻击因数

总协同攻击因数是将所有安全事件对该层次式网络的协同攻击因数P_i进行统计求和得到一个值。

$P=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{P}_i$

步骤3：安全态势聚合计算

安全态势聚集计算主要通过将步骤1和2中结果进行汇集，即对各个子网的网络安全态势值以及总协同攻击因数进行加权求和，最终得到包含下级子网和本级子网的该层次式网络的总体安全态势。该层次式网络的总体态势聚合算法如下：

$T_{\mathrm{LAN}}=\underset{x=1}{\overset{b}{\mathrm{\&Sigma;}}}{u}_x*T_{{\mathrm{LAN}}_x}+u^{\&prime;}*P$

在上述公式中：

T_LAN为包括各个下级子网和本级子网的该层次式网络的总体安全态势值；

表示包括下级子网和本级子网的多个子网中某个子网x的网络安全态势值；

b表示下级子网和本级子网的个数之和；

P表示所有安全事件对该层次式网络的协同攻击因数；以及

u_x以表示对应子网x在该层次式网络的总体安全态势中的重要程度即权重，u′表示网络协同攻击对该层次式网络的总体安全态势影响的权重并且满足：

其中u_x、u′可以使用本领域公知的任意方法获得，例如根据可以直接利用专家的知识经验来指定，也可以类似于本发明人在申请号为201110310406.6、发明名称为“基于不确定数据的网络安全态势模糊评估方法”的专利申请中提出的确定各节点对其上层节点的重要度的方法，来确定各子网在该层次式网络的总体安全态势中的权重。具体而言该方法包括以下步骤：

建立各子网相对于整个上层网络的重要度比较矩阵；

根据该重要度比较矩阵，将该重要度比较矩阵转换为模糊一致性矩阵；以及

根据该模糊一致性矩阵中的各元素，计算各子网在整个上层网络中的权重，即u_x。

通过上述方法，即计算出上层网络的整体网络安全态势值。

虽然上述实施例中仅示出了包括两层网络的层次式网络的安全态势聚合方法，本领域技术人员可以了解，对于包括三层或更多层网络的层次式网络的，也可以采用本发明的安全态势聚合方法从下而上针对包括下级子网的各个网络自下而上逐个、逐层进行聚合，最终得到最上层网络的总体安全态势值。

本发明引入协同攻击评估技术，通过对各子网上报的重大网络安全事件进行相似性判断来评判某种网络安全事件的流行程度。通过对协同攻击的评估来修正传统的态势聚合算法，可以有效提高网络安全态势聚合的合理性和准确性，对大规模网络的安全态势评估发挥至关重要的作用。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (9)

1.一种层次式网络的安全态势聚合方法，用于计算该层次式网络的总体安全态势值，该层次式网络包括多个下级子网和本级子网，该方法包括：

（1）采集包括下级子网和本级子网的所有子网的网络安全态势值以及影响该网络安全态势值的网络安全事件；

（2）根据采集到的各网络安全事件，确定每个该网络安全事件在该层次式网络中的分布度，并根据采集到的各网络安全事件在子网中的分布度，确定每个该网络安全事件对层次式网络的协同攻击因数,以及将所有网络安全事件对层次式网络的协同攻击因数进行求和得到总协同攻击因数;

（3）确定各子网以及网络协同攻击对该层次式网络的权重，并基于所确定的权重对在步骤（1）采集到的各子网的网络安全态势值和在步骤（2）确定的总协同攻击因数加权求和，以得到该层次式网络的总体安全态势值。

2.如权利要求1所述的层次式网络的安全态势聚合方法，其中各子网的网络安全态势值采用如下步骤计算：

（a）构建用于评估该子网的网络安全态势的层次式模型并确定评估因素集和评判集；

（b）利用各评估因素与评判集中的评判等级之间的关系构建隶属度函数，并根据该隶属度函数确定该评估因素集中的各子节点属于该评判集中不同评判等级的概率；

（c）基于步骤（b）确定的各子节点属于不同评判等级的概率，构建模糊评价矩阵；

（d）确定各子节点对其上层节点的重要性权重；

（e）根据在步骤（c）构建的模糊评价矩阵和在步骤（d）确定的各子节点对其上层节点的重要性权重，计算该上层节点的网络安全态势指数；以及

（f）判断该上层节点是否是该层次式模型的顶层节点；如果是该层次式模型的顶层节点，则在步骤（e）中计算出的该上层节点的网络安全态势指数为该层次式模型的网络安全态势值；如果不是顶层节点，则针对该上层节点的上层节点确定用于评估其网络安全态势指数的评估因素级和评判集，并继续执行步骤（b）、(c)、(d)、(e)，直到计算出该子网的网络安全态势值。

3.如权利要求1或2所述的层次式网络的安全态势聚合方法，其中采集影响该网络安全态势值的网络安全事件包括采集该网络安全事件的事件类型、目的地址以及上报时间。

4.如权利要求3所述的层次式网络的安全态势聚合方法，其中步骤（2）包括：

根据网络安全事件的事件类型和目的地址来确定该网络安全事件在所有子网中的分布度。

5.如权利要求3所述的层次式网络的安全态势聚合方法，其中步骤（2）包括根据网络安全事件的上报时间以及该网络安全事件的事件类型和目的地址来确定网络安全事件在所有子网中的分布度。

6.如权利要求1所述的层次式网络的安全态势聚合方法，其中使用如下公式计算事件类型为C_i的网络安全事件在子网中的分布度d_i：

d_i=mount(c_i)/b*100%

其中，b为该层次式网络中所有子网的数目，mount(c_i)为所有子网中发生网络安全事件C_i且该网络安全事件C_i的目的地址相同的子网数目。

7.如权利要求6所述的方法，其中使用如下公式确定网络安全事件C_i对层次式网络的协同攻击因数P_i，

$P_i=\left\{\begin{array}{cc}{r}_i& d_i\&GreaterEqual;80\%\\ d_i*r_i& 20\%<d_i<80\%\\ 0& d_i\&le;20\%\end{array}\right.$

其中，r_i为网络安全事件C_i的危害性，r_i∈[0，1]。

8.如权利要求1或2所述的方法，其中步骤（3）包括采用如下方法确定各子网以及网络协同攻击对该层次式网络的安全态势影响的权重：

建立各子网以及网络协同攻击相对于该层次式网络的重要度比较矩阵；

将该重要度比较矩阵转换为模糊一致性矩阵；以及

根据该模糊一致性矩阵中的各元素，计算各子网以及网络协同攻击在该层次式网络中的权重。

9.如权利要求1或2所述的方法，其中步骤（3）包括根据如下公式计算该层次式网络的总体安全态势值：

$T_{\mathrm{LAN}}=\underset{x=1}{\overset{b}{\mathrm{\&Sigma;}}}{u}_x*T_{{\mathrm{LAN}}_x}+u^{\&prime;}*P$

其中T_LAN为包括各个下级子网和本级子网的该层次式网络的总体安全态势值；

表示某个子网x的网络安全态势值；b表示下级子网和本级子网的个数之和；P表示所有网络安全事件对该层次式网络的总协同攻击因数；u_x以表示某个子网x在该层次式网络的网络安全态势中的重要程度即权重，u′表示网络协同攻击对整体网络安全态势影响的权重并且满足： $\underset{x=1}{\overset{b}{\mathrm{\&Sigma;}}}{u}_x+u^{\&prime;}=1.$

Images